[发明专利]在网络通信系统中访问控制方法和系统

说明书

技术领域

本发明涉及计算机系统领域，尤其涉及一种在网络通信系统中访问控制方法和系统。

背景技术

iSCSI(internet Small Computer System Interface，网络小型计算机接口)已经成为大型企业和中小型企业中的一个流行SAN解决方案。大型企业通常将这些技术应用于二线和三线数据中心以及大型远程分部。在中小型企业环境中，主数据中心和辅助数据中心以及大型远程分部通常都会使用iSCSISANs(存储区域网)。

iSCSI的另一个主要应用环境是应用服务供应商环境。运行在高性能以太网结构上的、基于NFS(Network File System，网络文件系统)的NAS(Network Attached Storage：网络附属存储)通常为在这个领域占据主流，因为大部分的流量都是基于文件的流量。iSCSI增加了对受益于SAN的应用软件的无缝支持。现在，由于增加了虚拟服务器软件，这些应用软件都扩展到云计算环境之中。

从当前的应用来看，iSCSI应用主要还是集中在数据中心等前端主机不太多的情况下。也有一些用户开始将iSCSI协议用于企业数据空间管理和无盘系统。但是此类应用的客户端数量会以万计算，这就给iSCSI协议支持主机数量和权限管理提出了更高的要求。

目前，存储系统在CHAP(Challenge Handshake Authentication Protocol，挑战握手认证协议)认证模式时，该CHAP认证在密码选择上提出了很多的要求，要求用户需要设置两个密码，以用于双向通信，而且每个密码的长度都是有限制的，用户需要记忆较长的密码，一旦记错，就无法使用存储资源，给使用带来不便；如果用户不是专业的数据管理员，而是普通职员的话，很可能为了记忆方便将密码设置相对简单，甚至不设密码，会因为密码的安全级别过低导致信息外泄的问题，降低了存储系统的安全性。

由上可以看出，存储系统中对用户身份认证不合理的问题，具体为：用户输入的密码过长，会使用户登录变复杂；用户输入的密码简单，存在信息外泄的隐患。

发明内容

本发明提供一种在网络通信系统中访问控制方法和系统，解决现有技术中密码验证不合理的问题。

为解决上述技术问题，本发明提供了如下技术方案：

一种在网络通信系统中访问控制方法，包括：

在当检测到用户需要访问服务器时，客户端采用预先设置的自身的身份信息向所述服务器发起访问请求；

所述服务器从预先记录的身份信息中，查找是否有该客户端的身份信息，并根据查找结果，对使用该客户端的用户进行访问控制。

进一步的，所述方法还具有如下特点：所述客户端采用预先设置的自身的身份信息向所述服务器发起访问请求之前，还包括：

所述客户端根据预先设置的生成策略，生成自身的身份信息，并将生成的身份信息通知给所述服务器。

进一步的，所述方法还具有如下特点：

所述客户端的身份信息是根据自身硬件的配置描述信息确定的，其中所述自身硬件的配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中至少一个。

进一步的，所述方法还具有如下特点：所述服务器根据查找结果，对使用该客户端的用户进行访问控制，包括：

如果查找到，则根据预先设置的该客户端的身份信息与访问权限的对应关系，为使用该客户端的用户提供该客户端身份信息所对应的访问权限。

进一步的，所述方法还具有如下特点：

如果所述客户端有至少两个访问权限不同的用户，则在向所述服务器发送所述访问请求时，所述客户端还向所述服务器通知所述用户的身份信息；

所述目标端根据客户端的身份信息确定该客户端的身份信息对应的全部访问权限，再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限，从该全部访问权限中确定该用户的身份信息对应的最终访问权限，并根据所述最终访问权限为所述用户提供服务。

一种在网络通信系统中访问控制系统，包括客户端和服务器，其中：

所述客户端，用于在当检测到用户需要访问所述服务器时，采用预先设置的自身的身份信息向所述服务器发起访问请求；

所述服务器，用于从预先记录的身份信息中，查找是否有该客户端的身份信息，并根据查找结果，对使用该客户端的用户进行访问控制。

进一步的，所述系统还具有如下特点：所述客户端还包括：

生成模块，用于在采用预先设置的自身的身份信息向所述服务器发起访问请求之前，根据预先设置的生成策略，生成自身的身份信息；